Gestire il controllo delle applicazioni per Azure locale, versione 23H2

Articolo
12/14/2024

Si applica a: Versione locale di Azure 2311.2 e versioni successive

Questo articolo descrive come usare Il controllo delle applicazioni per ridurre la superficie di attacco di Azure Locale. Per altre informazioni, vedere Gestire le impostazioni di sicurezza di base in Locale di Azure, versione 23H2.

Prerequisiti

Prima di iniziare, assicurarsi di avere accesso a un'istanza locale di Azure, versione 23H2 distribuita, registrata e connessa ad Azure.

Visualizzare le impostazioni di Controllo applicazioni tramite il portale di Azure

Per visualizzare le impostazioni di Controllo delle applicazioni nel portale di Azure, assicurarsi di aver applicato l'iniziativa MCSB. Per altre informazioni, vedere Applicare l'iniziativa Microsoft Cloud Security Benchmark.

È possibile usare i criteri di controllo delle applicazioni per gestire quali driver e app possono essere eseguiti nel sistema. È possibile visualizzare solo le impostazioni di Controllo applicazioni tramite il portale di Azure. Per gestire le impostazioni, vedere Gestire le impostazioni di Controllo applicazioni con PowerShell.

Gestire le impostazioni di Controllo applicazioni con PowerShell

Abilitare le modalità dei criteri di controllo delle applicazioni

È possibile abilitare il controllo delle applicazioni durante o dopo la distribuzione. Usare PowerShell per abilitare o disabilitare il controllo applicazioni dopo la distribuzione.

Connettersi a uno dei computer e usare i cmdlet seguenti per abilitare i criteri di controllo delle applicazioni desiderati in modalità "Audit" o "Enforced".

In questa versione di compilazione sono disponibili due cmdlet:

Enable-AsWdacPolicy : influisce su tutti i nodi del cluster.
Enable-ASLocalWDACPolicy - Influisce solo sul nodo in cui viene eseguito il cmdlet.

A seconda del caso d'uso, è necessario eseguire una modifica globale del cluster o una modifica del nodo locale.

Questa operazione è utile quando:

Si è iniziato con le impostazioni predefinite consigliate.
È necessario installare o eseguire un nuovo software di terze parti. È possibile cambiare le modalità dei criteri per creare un criterio supplementare.
Hai iniziato con il Controllo applicazioni disabilitato durante la distribuzione e ora vuoi abilitarlo per aumentare la protezione della sicurezza o per verificare che il tuo software funzioni correttamente.
Il tuo software o i tuoi script vengono bloccati dal Controllo delle Applicazioni. In questo caso è possibile usare la modalità di controllo per comprendere e risolvere il problema.

Nota

Quando l'applicazione è bloccata, Controllo applicazione crea un evento corrispondente. Esaminare il registro eventi per informazioni dettagliate sui criteri che bloccano l'applicazione. Per ulteriori informazioni, consultare la guida operativa Controllo delle Applicazioni.

Cambiare le modalità dei criteri di controllo delle applicazioni

Segui questi passaggi per passare dalla modalità dei criteri di controllo delle applicazioni. Questi comandi di PowerShell interagiscono con Orchestrator per abilitare le modalità selezionate.

Connettersi al computer locale di Azure.
Eseguire il comando di PowerShell seguente usando le credenziali di amministratore locale o l'utente di distribuzione (AzureStackLCMUser).
Eseguire il cmdlet seguente per verificare la modalità della policy di Application Control attualmente abilitata.
```
Get-AsWdacPolicyMode
```
Questo cmdlet restituisce Audit o Enforced Mode per Node.
Eseguire il cmdlet seguente per cambiare la modalità dei criteri:
```
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
```
Ad esempio, per impostare la modalità dei criteri su controlla, eseguire:
```
Enable-AsWdacPolicy -Mode Audit
```
Avviso

L'agente di orchestrazione richiederà fino a due o tre minuti per passare alla modalità selezionata.

Eseguire Get-ASWDACPolicyMode di nuovo per verificare che la modalità dei criteri sia aggiornata.

Get-AsWdacPolicyMode

Ecco un output di esempio di questi cmdlet:

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting Application Control Policy Mode on Node01.
VERBOSE: Application Control Policy Mode on Node01 is Enforced.
VERBOSE: Getting Application Control Policy Mode on Node01.
VERBOSE: Application Control Policy Mode on Node01 is Enforced.

NodeName     PolicyMode
--------     ----------
Node01 	Enforced
Node01 	Enforced

PS C:\> Enable-AsWdacPolicy -Mode Audit
WARNING: Setting Application Control Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set Application Control Policy to Audit Mode.
6826fbf2-cb00-450e-ba08-ac24da6df4aa

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting Application Control Policy Mode on Node01.
VERBOSE: Application Control Policy Mode on Node01 is Audit.
VERBOSE: Getting Application Control Policy Mode on Node01.
VERBOSE: Application Control Policy Mode on Node01 is Audit.

NodeName     PolicyMode
--------     ----------
Node01 	Audit
Node01	Audit

Creare un criterio di controllo delle applicazioni per abilitare il software di terze parti

Durante l'uso del Controllo delle applicazioni in modalità di applicazione, affinché il software non firmato da Microsoft possa essere eseguito, si basa sui criteri di base forniti da Microsoft creando un criterio supplementare per il Controllo delle applicazioni. Altre informazioni sono disponibili nella documentazione di controllo delle applicazioni pubblica .

Nota

Per eseguire o installare un nuovo software, potrebbe essere necessario passare prima la Controllo delle Applicazioni alla modalità di audit (vedere i passaggi precedenti), installare il software, verificare che funzioni correttamente, creare il nuovo criterio supplementare e quindi ripristinare la modalità di applicazione forzata.

Creare un nuovo criterio in Formato di criteri multipli, come illustrato di seguito. Add-ASWDACSupplementalPolicy -Path Policy.xml Usare quindi per convertirlo in un criterio supplementare e distribuirlo tra i nodi del cluster.

Creare un criterio supplementare per il controllo delle applicazioni

Per creare un criterio supplementare, seguire questa procedura:

Prima di iniziare, installare il software che verrà coperto dai criteri supplementari nella propria directory. Va bene se ci sono sottodirectory. Quando si creano i criteri supplementari, è necessario fornire una directory da analizzare e non si vuole che i criteri supplementari coprono tutto il codice nel sistema. In questo esempio questa directory è C:\software\codetoscan.
Dopo aver creato tutto il software, eseguire il comando seguente per creare i criteri supplementari. Usare un nome di criteri univoco per identificarlo.
```
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
```

Eseguire il cmdlet seguente per modificare i metadati dei criteri supplementari:


 # Path of new created XML)
 $policyPath = "c:\wdac\Contoso-policy.xml"

# Set Policy Version (VersionEx in the XML file)
 $policyVersion = "1.0.0.1"
 Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion

 # Set Policy Info (PolicyName, PolicyID in the XML file)
 Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"

Eseguire il cmdlet seguente per distribuire i criteri:

Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml

Eseguire il cmdlet seguente per controllare lo stato dei nuovi criteri:

Get-ASLocalWDACPolicyInfo